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(54) Procede d'authentification d'au moins un dispositrf d' identification par un dispositrf de verification et dispo- 
sitrf pour sa mlse en ceuvre. 

67) La pr6sente invention concerne un precede d'authenti- 
flCation d'au moins un dispositrf d* identification par un dis- 
posing de verification. 

Dans le cadre du procede, I'authentification est r6alis6e 
par un protocole a apport nui de connaissance bas6 sur le 
probleme du d6codage par syndrome. Le proc£d6 com- 
prend I'etablissement d'un vecteur secret s d'un poids de 
Hamming d, d'une matrice connue M de dimensions n x k 
et d'un vecteur public K tel que K = Ms, la production d'un 
vecteur al6atoire y et une permutation ateatoire p au niveau 
du dispositif d'identification, un engagement sur des para- 
metres dependant de y et/ou p et/ou s bas6 sur I'usage de 
la fonction de hachage cryptograph ique H et de la matrice 
M, une echange d'informations concemant y f p, s permet- 
tant de repondre aux questions posees par le dispositif de 
verification sans r6v6ler directement ou indirectement s a 
celui-ci et une verification a I'aide de K et/ou des informa- 
tions precedemment transmises de la validity des engage- 
ments haches. L'invention s'applique notamment a la tele- 
vision a p6age. 
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1 

PROCEDE D'AUTHENTIFICATION D'AU MOINS UN DISPOSITIF 
□'IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION ET 
DISPOSITIF POUR SA MISE EN OEUVRE 

5 La presente invention a pour objet un proc6d6 

d'authentification d'au moins un dispositif d'identification par un 
dispositif de verification, cette authentification etant realis6e par un 
protocole 3 apport nul de connaissance base sur le probieme du 
d6codage par syndrome. 

10 La presente invention a aussi pour objet des dispositifs 

dMdentification et de verification pour la mise en oeuvre dudit proc6d6. 
La presente invention s'applique, plus particulierement, au cas des 
communications dites s6curis6es ou deux dispositifs echangent des 
donnees 5 travers un canal dont la s6curite est suspecte. Dans ce cas, il 

15 est essentiel d'avoir un moyen de reconnaissance mutuelle, £ savoir un 
moyen permettant £ un dispositif de verification d'authentifier un 
utilisateur et de lui permettre Tacces aux donnees ou aux services. II 
existe de nombreux exemples necessitant la mise en oeuvre de ce type 
de communication securisee. On peut citer, notamment, le cas des 

20 ordinateurs de type bancaire permettant d'effectuer des transferts 
d'ordres. Dans ce cas, les deux ordinateurs doivent avoir la certitude 
qu'ils sont bien en communication Tun avec I'autre et non pas avec une 
entite pirate. On peut citer aussi le cas des distributeurs automatiques de 
billets, des decodeurs de television d p6age, des publiphones. Dans ces 

25 exemples, le dispositif d 1 identification est constitue par un appareil 
portable tel qu'une carte a puce ou une cl6 eiectronique et le dispositif 
de verification inclus soit dans le distributeur ou fe d6codeur doit 
contrfiler la validite des differents moyens d'accSs de la carte & puce ou 
de la cie eiectronique. 

30 Dans ce contexte, on utilise fr6quemment des methodes 

d'authentification qui sont bas6es sur des techniques cryptographiques d 
cl6s secretes. Ces methodes sont, jusqu'S ce jour, les plus simples & 
mettre en oeuvre. Dans le cadre de ces methodes, le dispositif 
dMdentification par exemple les cartes e puces et le dispositif de 



2700430 



verification tel qu'un terminal, un lecteur de cartes, un d£codeur, un 
publiphone, partagent la m§me cie secrete et P identification est 
accomplie par un algorithme symetrique ou une fonction £ sens unique. 
L'inconvenient de ces methodes reside dans le fait que les deux parties, 
5 a savoir le dispositif de verification et le dispositif d'identification, 
doivent cooperer mutuellement et secr£tement. Cette condition n'est pas 
toujours v6rifiee. Effet, un element pirate peut acheter le dispositif de 
verification et I'analyser pour connaTtre sa structure interne. Sur la base 
de cette analyse, I'eiement pirate est techniquement capable de r6aliser 

10 des dispositifs d'identification performants, car les m§mes cl6s secretes 
sont pr6sentes aux deux extr6mites du reseau, £ savoir dans le dispositif 
de verification et dans le dispositif d'identification. 

II est reconnu que, parmi les divers procedes pouvant §tre 
impl6mentes pour se premunir contre les inconvenients des m6thodes 

15 classiques connues, les protocoles £ apport nul de connaissance 
assurent jusqu'£ maintenant le degre de securite le plus eieve. 

En resume, les protocoles d'identification £ apport nul de 
connaissance sont fonctionnellement caracterises par le fait qu'un 
nombre illimite d'interactions avec le dispositif d'identification et une 

20 analyse complete de la structure du dispositif de verification ne sont pas 
suffisants pour pouvoir reconstruire les dispositifs d'identification. 

Toutefois, les protocoles & apport nul de connaissance qui 
constituent une solution ideale au probldme de ('identification pr6sentent 
un inconvenient majeur. Leur realisation est quelque peu difficile £ faire 

25 eiectroniquement, car ellle demande un nombre d'op6rations trds 
important. On pourra trouver une description des procedes 
d'identification £ apport nul de connaissance existant notamment, dans 
le brevet americain A-4 748 668 au nom de FIAT et al. ou dans la 
demande de brevet europ6enne A-0 31 1 470 au nom de GUILLOU et AL. 

30 Des efforts ont 6t6 accomplis recemment afin de d6velopper 

des methodes d'identification dont la realisation eiectronlque soit plus 
facile. Une telle methode est d6crite notament dans le brevet am6ricain 
US-A-4 932 056 au nom de SHAMIR. Cette methode est connue sous le 
nom de methode PKP. Toutefois, cette methode, qui est plus facile S 
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realiser eiectroniquement que les algorithmes manipulant les grands 
nombres, presente l'inconv6nient d'etre relativement lente lors des 
^changes entre les dispositifs de verification et d'identification. 

La presente invention a done pour but de rem6dier aux 
5 inconv6nients mentionn6s ci-dessus en proposant un nouveau proc6d6 
d'authentification qui soit facilement realisable eiectroniquement et qui 
permette une authentification rapide du dispositif d'identification par le 
dispositif de verification. 

En consequence, la pr6sente invention a pour objet un proc6d6 

10 d'authentification d'au moins un dispositif d'identification par un 
dispositif de verification, cette authentification 6tant r6alis6e par un 
protocole a apport nui de connaissance base sur le probieme du 
d6codage par syndrome ou le probieme connu sous le nom de "Modular 
Knapsack" , le proc6de etant caract6rise par les 6tapes suivantes : 

15 - pour permettre le dialogue entre le dispositif d'identification 

et le dispositif de verification, etablir une cl6 secrete constituee par au 
moins un vecteur Sj de dimension n et de poids de Hamming d (d<n) et 
une cl6 publique comprenant une matrice M de dimensions n x k dont les 
coefficients sont choisis aieatoirement et au moins un vecteur K-, tels que 

20 K; = Msj ; 

- au niveau du dispositif d'identification, produire un vecteur 
aieatoire y de dimension n et une permutation al6atoire p et envoyer au 
dispositif de verification un engagement obtenu en appliquant une 
fonction de hachage cryptographique H sur des param6tres fonction de 

25 y, p, s et M ; 

- puis, en fonction d'un nombre aieatoire tire par le dispositif 
de verification et envoye au dispositif d'identification, reveler au 
dispositif d'identification, certains elements fonction de y, p et sj sans 
r6v6ler Sj ; 

30 - et en fonction du nombre aieatoire, tester au niveau du 

dispositif de verification S I'aide des elements repus et de la cie publique 
que les engagements sont corrects ; 



2700430 



- r6p6ter les operations pr6c6dentes un nombre de fois 
fonction du niveau de securite souhaite sachant que ce niveau de 
securite est exponentiellement croissant avec le nombre de tours. 

Dans le proc6de d'authentification ci-dessus, on utilise une 
5 matrice M de dimensions nxk, cette matrice etant commune d tous les 
utilisateurs et construite aieatoirement. Chaque utilisateur regoit une c|6 
secrete s qui est un mot de n bits avec un nombre d present de 1. Dans 
ce cas, le systeme calcule la cie publique K telle que K = MS. 

Alternativement, un utilisateur peut Stre dote de plusieurs cl6s 
10 secretes s[1] # s[w] auxquelles sont associ6es des cl6s publiques 
K[i] » Ms[i]. Avantageusement, on peut exiger que ces vecteurs s[1], 
s[w] forment un code simplexe etendu. 

Le procede d' identification est base principalement sur la 
notion technique d'engagement. Si U est une sequence d f 6l6ments 
15 binaires, un engagement pour U est I'image de U £ travers une certaine 
fonction de hachage cryptographique. [.•engagement sera utilis6 comme 
une fonction S sens unique. 

Selon un premier mode de realisation du proc6d6 
d'authentification, dans une premiere etape 
20 - a) commune aux differents proc6d6s, le dispositif 

d'identification r£v6le son identity et/ou sa ou ses cl£s sign6es au 
dispositif de verification qui vSrifie que I'identite en question correspond 
bien au vecteur Kj, puis 

apr£s avoir choisi un vecteur aieatoire y et une permutation 
25 aieatoire p, 

- b) le dispositif d'identification calcule : 

hi = H(p,My), h2 = H{y p ), h3 = H (y xor s) p ) et expedie 
('engagement {h-j, h2, 113} au dispositif de verification, (x p repr§sentant 
le vecteur x permute par p et xor la fonction Ou exclusif), 
30 - c) puis le dispositif de verification tire de fagon aieatoire un 

nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification calcule et envofe au 
dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y,p} 
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Si q = 2 alors r = {y xor s, p} 
Si q * 3 alors r = {y p , s p } 

- e) le dispositif de verification repoit r = {U,V} et teste que : 
Si q = 1 alors h-j = H (V,MU) et h 2 - H(U V ) 

5 Si q = 2 alors h<| = H(V, (MU) xor K) et h 3 = H{Uv) 

Si q « 3 alors h 2 = H(U) # K3 = H(U xor V) et le poids de 
Hamming de V est d, 

. - f) si le test correspondant S q s'est av6r6 correct, le dispositif 
de verification considfere que le protocole s'est termine par un succfes. 
10 Selon un autre mode de realisation de la pr£sente invention, 0C1 

le vecteur s est remplace par une collection de w vecteurs s[1], s[2], 
s[w] formant un code simplexe de poids d f apr£s avoir choisi un vecteur 
aieatoire y et une permutation aieatoire p 

-b) le dispositif d'identification calcule hi = H(My, p) # h 2 = 
15 H(y p , s[1] p , s[w] p ) et expedie I'engagement {hi, h 2 } au dispositif de 
verification, 

- c) le dispositif de verification tire de fapon aieatoire un 
vecteur binaire b[1], b[w] et I'envoie au dispositif d'identification ; 

- d) le dispositif d'identification calcule et envoie au dispositif 
20 de verification une reponse 2 definie par : 

z = Yp xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w] p b[w] ; 

- e) le dispositif de verification tire de fapon aieatoire un bit q 
et Tenvoie au dispositif d'identification, 

25 - f) le dispositif d'identification envoie une reponse r definie 

par : 

Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

- g) le dispositif de verification report une reponse r = {r[0] r 
30 r[1], r[w]} si q = 0 ou r = {r[0]} si q ■ 1 ; 

- h) le dispositif de verification teste que : 

Si q = 0 alors h 2 « H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w) et {r[1] # r[2], r[w]} forme un code simplexe ; 
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Si q = 1 alors H(M(depermute(z, r[0])) xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]), r[0]) - h-| 0C1 K[i] m Ms[i] 

- i) si le test correspondant S q s'est av6r6 correct le dispositif 
de verification considfcre que le protocole s'est terming par un succfes. 

5 D'autres avantages de la presente invention apparaftront S la 

lecture de la description de diff6rents modes de realisation du proc6d6, 
cette description etant faite avec reference aux dessins ci-annex§s dans 
lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
10 mise en oeuvre du procede d'authentification conforme d la pr6sente 

invention ; 

- la figure 2 est un schema d'un second mode de realisation du 
precede conforme a la pr6sente invention ; 

- la figure 3 est un schema sous forme de blocs d'un dispositif 
15 d'identification conforme a la presente invention ; 

- la figure 4 est un schema sous forme de blocs d'un dispositif 
de verification conforme £ la presente invention, et 

- la figure 5 est un schema eiectrique d f un exemple de 
realisation d'un multiplicateur matrice/vecteur conforme & la presente 

20 invention. 

La presente invention concerne done un nouveau procede 
d'authentification realise par un protocole S apport nul de cbnnaissance. 
La securite du procede est bas6e sur le probteme du d6codage par 
syndrome (DS) qui peut £tre explicit^ de la manifere suivante : soft une 

25 matrice binaire M et un vecteur binaire K, il s'agit de trouver un vecteur 
binaire s de poids relativement fort ou relativement faible, tel que 
Ms - K. Par poids, on entend le nombre de bits d 1 dans le vecteur 
concerne. Le probieme pose ci-dessus est en fait tr6s difficile S r6soudre 
par les moyens de calcul connus d ce Jour, si les dimensions de la 

30 matrice M et le poids d' Hamming d de s sont choisis judlcieusement. Les 
algorithmes connus pour resoudre le probl£me du d6codage par 
syndrome tels que decrits, par exemple, dans I'article de J.S Leon "A 
probabilistic algorithm for computing minimum weights of large error- 
correcting codes" dans IEEE TIT, 34(5), pages 1354 3 1359 ou dans 
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Particle J. Stern M A method for finding codewords of small weight" 
Coding Theory & Applications, notes de lecture en Computer Science 
388 (1989), pages 106-113 ont un temps de calcul qui croTt 
exponentiellement avec la taille des matrices en question. 
5 Les moyens de calcul actuels ne permettent pas de calculer s 

si les dimensions de M sont aux environs de 500 par 250 et la valeur de 
d proche de 50. Toutefois, £tant donn6 s (pris au hasard mais avec un 
certain poids), il est possible de calculer K. 

Dans la pr6sente invention, on utilise cette propri§t§ d sens 

10 unique pour que I'appareil de verification qui connaTt K puisse tester que 
le dispositif d'identification possSde s sans que sa valeur soit r6v6ISe au 
cours de 1'interaction. 

Pour mettre en oeuvre le proc6d6 d'authentification conforme S 
la prgsente invention, une autorit§ choisit et publie la matrice M 

15 constitute de coefficients a,-j qui ont 6t€ choisis ateatoirement. En fait, 
pour £viter de m£moriser toute la matrice M, il est possible de g6n§rer 
chaque coefficient ajj par f(i,j) oD f est une fonction pseudo-ateatoire 
publique quelconque. 

L'autorite choisit aussi une collection de vecteurs binaires s;, £ 

20 savoir $<\ t S£, s n# dont le poids de Hamming d est relativement faible 
et les distribue aux divers dispositifs d'identification, Ainsi, le dispositif 
d'identification i repoit sj. D'autre part, on publie I'ensemble des cl6s 
publiques Kj oD Kj = Ms;. 

Selon une variante de realisation, PautoritS peut aussi apposer 

25 sa signature sur les Kj de fagon S constituer un systfeme cryptographique 
ferme ou une interaction avec I'autorite est n6cessaire afin de valider les 
cl£s publiques cr£ant ainsi un systSme bas£ sur I'identitS du porteur de la 
cl6 secrete Sj. 

On d6crira maintenant deux modes de realisation sp£cifiques 
30 du proc6d6 de la pr£sente invention. 

Le premier proc6d6 sera dScrit avec reference & la figure 1 qui 
reprSsente schematiquement le protocole de communication mis en 
oeuvre entre un dispositif d 1 identification et le dispositif de verification 
pour rSaliser une authentification. Les dispositifs dMdentification qui 
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peuvent dtre constitu6s, par exemple, par des cartes 3 puce ou des cl6s 
eiectroniques doivent etre physiquement inviolables. Ainsi, pour une 
carte d puce, il doit §tre impossible d'accSder a sa memoire interne. Rien 
par contre n'est suppose concernant I'environnement dans lequel 6volue 
5 le dispositif de verification. De plus, comme represents sur les figures 3 
et 4 qui represented schematiquement un dispositif d' identification et un 
dispositif de verification, le dispositif d 1 identification comporte dans une 
memoire non volatile sa cl6 secrete s\ et la matrice M, de m§me le 
dispositif de verification comporte dans une memoire non volatile 
10 I'ensemble des cies publiques Kj et la matrice M. Quand un dispositif 
d'identification veut entrer en contact avec un dispositif de verification, 
les deux dispositifs ex£cutent le protocole suivant : 

- a) tout d'abord le dispositif d'identification r6v6le son identity 
et/ou sa cie sign£e Kj au dispositif de verification qui verifie que I'identite 

15 en question correspond bien e Kj. 

- b) ensuite, le dispositif d'identification choisit un vecteur 
binaire aieatoire y et une permutation aieatoire p. Puis, il calcule les 
elements suivants : 

hi = H(p,My), h2 « H(y p ), 113 = H ({y xor s) p ) et exp6die 
20 ('engagement {h*], h2, h$} au dispositif de verification, (x p repr6sentant 
le vecteur x permute par p et xor la fonction Ou exclusif), 

• c) puis le dispositif de verification tire de fagon aieatoire un 
nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification calcule et envoie au 
25 dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 

- e) le dispositif de verification regoit r = {U,V} et teste que : 
30 Si q = 1 alors h<| - H (V,MU) et h2= H(Uy) 

Si q = 2 alors h<| = H(V, (MU) xor K) et h3 = H{Uv» 
Si q = 3 alors h 2 = H(U), h3 = H{U xor V) et le poids de 
Hamming de V est d, 
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- f) si le test correspondant a q s'est av6r6 correct, le dispositif 
de verification considdre que le protocole s'est terming par un succSs. 

Si le test n'est pas correct, le dispositif d'identification est 

rejete. 

5 Lorsque le dispositif est accepte, on envoie une impulsion de 

commande sur I' interface entree/sortie du syst&me prot6g6 qui permet la 
mise en route de la transaction ult6rieure. L'ensemble des operations ci- 
dessus est symbolise sur la figure 1 dans laquelle la partie de gauche 
represente les differentes operations realisees au niveau du dispositif 

10 d'identification tandis que la partie de droite represente les differentes 
operations realis6es au niveau du dispositif de verification, les flfeches 
symbolisant renvoi d'informations d'un dispositif vers I'autre. 

Pour accroitre la securite du proc6d6, les deux dispositifs 
d'identification et de verification repetent les etapes ci-dessus plusieurs 

15 fois, a savoir t fois, le dispositif de verification n'authentifiant le dispositif 
d'identification que si toutes les sessions du protocole se sont soldees 
par un succ£s, De preference, on choisit t tel que 0 < t < 60. 

Le proc6d6 de base d6crit ci-dessus peut §tre modifie de 
differentes maniferes, permettant notamment une simplification de la 

20 realisation eiectronique ainsi qu'un raccourcissement des temps de 
calcul. Ainsi, il est possible de transmettre le vecteur My en clair et de 
redefinir Hi = H(p) en modifiant les tests correspondents. Selon une 
autre variante, le dispositif de verification et/ou le dispositif 
d'identification peuvent faire un test partiel sur un sous-ensemble de 

25 coordonnees des vecteurs et effectuer ainsi les calculs de fapon plus 
rapide. Dans ce cas, certaines 6tapes du proc6d6 sont modifi6es telles 
que decrites ci-apres. 

Ainsi, retape b peut §tre modifi6e de la fagon suivante : 
apr6s avoir choisi un vecteur aieatoire y et une permutation 

30 aieatoire p, 

- b) le dispositif d'identification calcule hi = H(p) f h2 = H(y p ), 
h3 = H ({y xor s) p ) et expedie ('engagement {hi, \\2, h3> au dispositif 
de verification, 
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- c) le dispositif de verification tire de fagon a!6atoire une liste 
de nombres mutuellement disjoints G = {g-|, ...gf} telle que 1 < gj < k 
et Penvoie au dispositif d f identification, 

- d) le dispositif d'identification calcule seulement les f bits de 
5 My dont les emplacements sont indiques par G et expedie au dispositif 

de verification le vecteur Z ainsi obtenu. 

Dans ce cas, retape e est modiftee elle aussi de la fagon 

suivante : 

- e) le dispositif de verification regoit r = {U,V} et contrfile 

10 que : 

Si q « 1 alors = H(V), h 2 = Hdly) et Extrait (MU,G) xor 
Z = 0 ou Extrait (x, G) represente le vecteur projection obtenu en 
choisissant dans x seulement les bits indiques par G ; 

Si q = 2 alors h<[ = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

15 xorZ = 0; 

Si q = 3 alors h 2 = H(U), h3 = H(U xor V) et le poids de 
Hamming de V est d. 

Selon une autre variante du proc6d6, retape b peut §tre 
modifiee de la manifere suivante : 
20 - b) aprds avoir choisi un vecteur aieatoire y et une 

permutation aieatoire p, le dispositif d f identification calcule hi = H(p), 
h2 « H(y p ), h3 = H ((y xor s) p ) et exp6die ^engagement {hi, h2, h3) 
au dispositif de verification ; 

- c) le dispositif d'identification calcule Q = My et expedie le 
25 vecteur Q ainsi obtenu au dispositif de verification ; 

- d) le dispositif de verification tire de fagon aieatoire une liste 
de nombres mutuellement disjoints G = {gi, gf} telle que 1 < gj < k 
et calcule le vecteur Z = Extrait (Q,G). 

Alors I'etape e est modifi6e de la maniere suivante : 
30 - e) le dispositif de verification regoit r = {U,V} et contr6le 

que : 

Si q = 1 alors h<\ = H(V), h2 = H(Uy) et Extrait (MU,G) xor 

Z = 0; 
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Si q = 2 aiors hi = H(V), h 3 = H(U V ) et Extrait <MU xor K,G) 

xorZ = 0; 

Si q = 3 alors h2 = H(U), h3 = H(U xor V) et le poids de 
Hamming de V est d. 
5 Un autre mode de mise en oeuvre du precede 

d'authentification est maintenant decrit avec reference d la figure 2. Ce 
second mode de realisation demande plus de calculs que le mode de 
realisation precedent, mais la probability de succds d'une entite iliegale 
decroit plus vite. Dans ce cas, le vecteur Sj est remplac6 par un 
10 ensemble de vecteurs s[1], s[w] formant un code simplexe etendu. 
De plus le vecteur Kj est remplace par un ensemble de vecteurs K[1], 
K[w] tels que M(s[i]| = K[i]. 

Ce mode de realisation comporte done les etapes suivantes, 
symbolisees sur la figure 2 de manifere identique £ la symbolisation 
15 utilis6e sur la figure 1 : 

- a) le dispositif d'identification choisit un vecteur ateatoire y et 
une permutation aieatoire p puis calcule h-j = H(My, p) f h£ = H(y p/ 
s[1] p , s[w] p ) et exp6die ('engagement {h<|, h2> au dispositif de 
verification, 

20 - b) le dispositif de verification tire de fagon al6atoire un 

vecteur binaire b[1], b[w] et I'envoie au dispositif d' identification ; 

- c) le dispositif d'identification calcule et envoie au dispositif 
de verification une reponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
25 s[w] p b[w] ; 

- d) le dispositif de verification tire de fa?on aieatoire un bit q 
et Penvoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une r6ponse r definie 

par : 

30 Si q « 0 alors r = {y p , s[1] p , s[w] p } 

Si q = 1 alors r = {p} ; 

- f) le dispositif de verification regoit une r6ponse r = {r[0], 
r[1], r[w]} si q = 0 ou r = (r[0]} si q = 1 ; 

- g] le dispositif de verification teste que : 
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Si q = 0 alors h 2 = H(r),z « r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H(M(depermute(z, r[0])) xor (K[1]b[1] xor 
Kf2]b[2] xor K[3]b[3] ... xor K[w]b[w]) f r[0]) = hj ; 
5 - h) si le test correspondant d q s'est av6r6 correct, ce 

dispositif de verification consid§re que le protocole s'est terming par un 
succ6s. 

Ce procede peut lui aussi §tre modifie et adapts de maniSre d 
eviter la depermutation du vecteur z, et S effectuer une verification 
10 simpliftee sur un sous-ensemble des coordonnSes des vecteurs comme 
decrit ci-dessus. Dans ce cas r le procede peut comporter, par exemple, 
les etapes suivantes : 

- a) le dispositif d'identification choisit un vecteur aleatoire y et 
une permutation aleatoire p, puis calcule : 

15 h! = H(p), h 2 = H(y p , s[1] p , , s[w] p ) et exp6die 

1'engagement {h«|, h 2 } et le vecteur ho = My au dispositif de 
verification ; 

- b) le dispositif de verification tire de fapon aleatoire un 
vecteur binaire b[1], b[w] et I'envoie au dispositif d'identification, 

20 - c} le dispositif d'identification calcule et envoie au dispositif 

de verification une r6ponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w] p b[w] ; 

- d) le dispositif de verification tire de fagon aleatoire un bit q 
25 et I'envoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une reponse r dfifinie 

par : 

Si q = 0 alors r - {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 
30 - f) le dispositif de verification report une reponse r - {r[0], 

r[1], r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- g) le dispositif de verification teste que : 

Si q - 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]bf3] ... xor r[w]b[w] et {r[1], r{2], ... r[w]} forme un code simplexe ; 
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Si q = 1 alors h<| » H(r[0]) et (h 0 ) r [0] xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]) r[0 ] = z. 

Si le test correspondant s'est av6r6 correct le dispositif de 
verification considere que le protocole s'est terming par un succds. 
5 Comme dans le cas du premier mode de realisation, le 

protocole decrit ci-dessus peut §tre r6p6t6 t fois, le dispositif de 
verification n'authentifiant le dispositif d'identification que si toutes les 
sessions du protocole se sont soktees par un succds. 

D'autre part, la securite des deux methodes dgcrites ci-dessus 
10 depend de la taille des differents paramfctres, notamment de d, n, k, et t. 
II est evident pour I'homme de Tart que le choix de t est facilement 
modulable en cours de fonctionnement f au niveau des deux dispositifs 
communiquant entre eux en fonction du contexte. En ce qui concerne les 
paramdtres d, n et k , il s'agit de paramdtres systfeme et leurs choix sont 
15 fixes a I'origine et plus difficilement modifiables. 

Ainsi, de preference, les parametres d, n, k sont choisis 
sensiblement sous la borne Warshamov-Gilbert donnant une valeur limite 
theorique pour le poids minimal d d'un code (n,k) al6atoire, d savoir : 
d = nH2(k/n) oCi H2M est la fonction d'entropie H£(x) = - x log2(x) - 
20 (1-x) log2d - x). Dans ce cas, d est choisi tel que : 

d = (k - n) log 2 d - (k/n)) - k log 2 (k/n) 

ou d « (n - (k - n) log 2 (1 - (k/n)) + k log2 (k/n). 

De plus, a la restriction de la borne de Warshamov-Gilbert, il 
convient d'ajouter une relation telle que 2k = n qui lie les valeurs de n et 
25 k. 

En utilisant les relations ci-dessus, de preference d = 0,11 n 
ou d = 0,89 n et les couples n et k peuvent prendre I'une des valeurs 
suivantes : 

{n = 384, k « 196} ou {n « 512, k « 256} ou {n = 1024, 
30 k = 512} ou {n = 768, k = 384). 

Selon une variante de realisation qui peut §tre utilisee dans 
('ensemble des methodes decrites ci-dessus, la fonction de hachage est 
remplacee par une fonction de chiffrement oCl le message d hacher joue 
le role de la cie et/ou de messages a chiffrer et oO le contrdle de la 
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vgracitS du message hache consiste S d6voiler le message qui a 6t6 
hachS et/ou la cl6 de chiffrement. On pourra se r£f£rer S ce sujet aux 
publications suivantes : 

- Ivan Damgaard, Crypto^, "Design principles for hash- 
5 functions" ; 

- Naor and al. "one-way hash functions and their cryptographic 
applications", Proceedings of the 21 st annual ACM symposium on theory 
of computing, Seattle, Washington, May 15-17, 1989, pp 33-43 ; 

- Matyas, "Generating strong one-way functions with 
10 cryptographic algorithm", IBM Technical disclosure bulletin, vol. 27, 

N°10A, March 1985, pp. 5658-5659. 

Dans le cas d'un proc6d6 base sur le "Modular Knapsack", le 
choix du vecteur y et tous les calculs sont effectu6s modulo m et 
Top6ration xor est remplac6e par une addition ou une soustraction 
15 modulo m, les tests sur le poids 6tant remplac6s par la verification que 
toutes les coordonnSes du vecteur sont soit 0, soit 1 et que le poids de 
ce vecteur est constant, la relation reliant n, k et m 6tant : n ~ k ln(m)/ln 
2 et n - k >64. Alors m est choisi parmi les nombres 2, 3, 5, 7 ou 2 C 
dans lequel c est un nombre entier petit et les ensembles {n, k, m} 
20 peuvent prendre I'une des valeurs suivantes : 

{196,128,3} ou {384,256,3} ou {128, 64, 5} ou {192, 96, 5}. 

Dans beaucoup de cas, il est important d'avoir un moyen de 
dSduire s de I'identit6 ID du porteur du dispositif d'identification. Ceci 
permet, par exemple, d'Gviter la sauvegarde des cl6s publiques Kj aupr6s 
25 des dispositifs de verification et la mise S jour d'un dictionnaire de c!6s 
publiques d6s qu'un nouvel utilisateur rejoint le systdme. 

Pour ce faire, un code simplexe Stendu sigmai, sigma u est 
choisi par I'autorite une fois pour toutes comme param6tre. 

Pour enregistrer un utilisateur dont Tidentit6 est ID, on hache 
30 la valeur ID par une fonction £ sens unique publique (par exemple la 
fonction de hachage H) et on obtient un vecteur binaire e-|, e u . On 
calcule : u 

S ID = £ e i sigma,- 
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On publie Ki = M(sigmai), K u ■ M(sigma) u et on donne 
S|d £ I'utilisateur ID. 

Les dispositifs de verifications peuvent calculer : 
u 

Kid = I ejKj 
i = 1 

ou le vecteur e-|, e u est donn6e par le hachage de ID et 
verifier que le dispositif d'identification possdde sjq. 

Pour atteindre un degr6 de s6curit6 suffisant, il est 
indispensable d'avoir u > 40 ce qui implique, d priori, des codes 
simplexes de taille trop importante. En r§alit6, il est facilement possible 
de se ramener a des tallies raisonnables en choissant une collection de L 
codes simplexes de petites dimensions (par exemple d = 64, dim = 7, 
n = 580, k = 290, L = 8) et en calculant pour chaque utilisateur une 
collection de L cl6s secretes sIUiq, s[2]|d, s[L]|q obtenues comme 
suit. 

Choisir, une fois pour toutes L codes simplexes de dimension 

dim : 

sigma [1]<|, ... sigma[1]d( m 
sigma [2]<|, ... sigma^im 
sigma [Ui, ... sigmaO.]^ 

donner, 3 chaque dispositif d'identification, la collection 
complete des cl6s publiques K[i]j = M (sigma [i]j) pour i = 1, ...L et j = 
1 f ...dim. 

Pour chaque utilisateur : 

1. Calculer : H(ID) = e-|, ...e u 

2. Partager le vecteur e en L segments e[1], ... e[L] de dim bits 

chacun ; 

3. Pour i = 1 & L calculer : 

dim 

sfi]|D = I e[i]jsigma[i]j 
j = 1 

4. Donner s[1]|d, s[2]|d, s[I]|d S I'utilisateur. 
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On utilisera les divers s[i]|D soit de fagon sSrielle {en utilisant 
aux tours successifs les s[i]|D 3 tour de rdle) ou paralldle, comme 
I'illustre le protocole suivant : 

a) le dispositif d'identification r6v6le son identity ID au 
5 dispositif de verification ; 

b) !e dispositif de verification calcule K[1]|d# K[2J|d,...,K[L]|d 

c) le dispositif d'identification choisit L vecteurs y[1],...,y[L] et 
L permutations p[1], p[L], calcule h-j « H({p[i]}, {My[i]}) # = 
H({y[i] p [i]}}, h3 o H ({y[i] xor s[i] p [|]}) et exp6die ('engagement {h<j, h 2 , 

10 113} au dispositif de verification ; 

d) le dispositif de verification tire de fapon al6atoire un nombre 
0 < q < 4 et Texpedie au dispositif d'identification ; 

e) le dispositif d'identification calcule et exp6die au dispositif 
de verification une r6ponse r definie par : 

15 Si q = 1 alorsr - {{y[i]}, {p[i]}} 

Si q = 2 alors r = {{y[i] xor s[i]}, {p[ij}} 
Si q = 3 alors r = {{y[i] p [j]}, {s[i] p [j]}} 

f) le dispositif de verification report r = {U, V} et teste que : 
Si q = 1 alors h<\ = H ({V[i]} , {MU[i]}) et h 2 - H({U[i] V [f]}) 

20 Si q = 2 alors hi = H {{V[i]} , ({MU[i]J xor K[i]}) et 

h 3 - H({Uti] V [i]}) 

Si q = 3 alors h 2 = H ({U[i]} , h 3 = H{{U[i] xor V[i]}) et le 
poids des V[i] est d, 

g) Si ie test correspondant d q s'est av6r6 correct, le dispositif 
25 de verification considere que le protocole s'est termine par un succfis ; 

h) les deux dispositifs rep6tent les etapes a) d f) t fols. 

En version paralieie, le protocole prend la forme suivante : 

- a) Pidentificateur reveie son identite ID au v6rifieur 

- b) le verifieur calcule K[1]|Q f K[2]|Q r ... f K[L]|d 

30 - c) Tidentifieur choisit L vecteurs y[1], y[L] et 

L permutations p[1}, p[L], calcule h-| = {H{p[i], My[i])}, 

h 2 = {H(y[i]p[j])}, h 3 = {H((y[i] xor s[i] p [j])} et expedie I'engagement 
{h-j, h 2 , h 3 } au verifieur. 
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- d) le verifieur tire de facon aleatoire L nombres aleatoires 
qf1], q[L] ou 0 < q(i] < 4 et les expedie a I'identifieur 

- e) I'identifieur calcule et expedie au veYifieur L reponses r[1], 
.... r[L] dgfinies par : 

5 si q[i] = 1 alors r[i] = {y[i], p[i]} 

si q[i] = 2 alors r[i] = {y[i] xor s(i], p[i]} 
si q[i] = 3 alors r[ij - {y[i] p [|] s{i] p [j]} 

- f) le verifieur recoit les {r[i]} et cohtrdle les engagements 
d'une facon 6vidente pour Phomme de I'art. 

0 Une autre methode pour relier ID a s est la suivante : 

- on introduit t secrets de poids at dont les bits a un sont 
repartis sur 2at positions. Soit s[1], s[2], s[t] et on publie Ms[i] pour 

I " —1 1 t • • « ,t • 

Dans ce cas, la gyration d'une cl6 se passe selon le 
5 processus suivant. II est ais6, notamment par tiangulation partielle, de 
trouver un mot s tel que : 
t 

s = I x[i] s[i] et 
i = 1 

0 

t 

Ms = I ejMs[i] et 
i = 1 

le poids de s est approximativement ta-t/2. 
5 Le choix des dimensions dans ce syst6me est r§gi typiquement 

par les relations suivantes : 0,11 n = ta - t/2, 2k = n et 2at6 > 56 od 
2a-2a H 2 (6) - 1 . 

Typiquement, pour t = 56 on a : d = 95, n = 863, k = 432. 
II est Evident pour I'homme de Tart que d'autres combinaisons sont 
0 possibles. 

On dScrira maintenant succintement, avec reference & la figure 
3, un mode de realisation schSmatique d'un dispositif d' identification qui 
peut etre, par exemple, une carte a puce. Ce dispositif ^'identification 
comporte done une unit6 de commande 1, une mSmoire non volatile 2 



2700430 



18 

qui peut etre seulement lue et qui contient par exemple la matrice M ou 
une fonction permettant d'obtenir les coefficients de la matrice M tels 
que definis ci-dessus ainsi que la cie secrete Sj du dispositif 
d'identification lui-mgme. II comporte aussi une m6moire d accds 
5 aleatoire 3, un multiplicateur vecteur-matrice dont le mode de realisation 
sera decrit avec reference £ la figure 5, un moyen pour realiser des OU 
exclusifs binaires 5, un g6n6rateur 6 de nombres al6atoires, une fonction 
de hachage 7 et un g6nerateur de permutation 8, tous ces elements 
etant proteges physiquement. II comporte aussi un interface de 

10 communication permettant un ^change de donnSes entre le dispositif de 
verification et I'unite de commande du dispositif d'identification. Le 
g6n6rateur de nombres aieatoires peut 6tre realise par une source de 
bruit blanc num6rise qui peut §tre produit, par exemple, par une diode 
zener polaris£e en inverse dans la zone dite "du coude"ou peut §tre aussi 

15 constitue par un generateur de nombres pseudo-ateatoires comme decrit 
dans les brevets americains 4 817 147 au nom de GUNTER ou 4 649 
419 au nom d'ARAGON. D'autre part, le generateur de permutation 8 est 
capable de permuter des vecteurs binaires en utilisant, par exemple, la 
mgthode d6crite dans la demande de brevet europ6en N°91 403065 ou 

20 dans Particle intitule "On the generation of permutation" de David 
Naccache dans le South African Computer Journal, n°2, 1990, pages 12 
a 16. 

La fonction de hachage peut etre r6alis6e par une fonction de 
hachage MD4 pr6sent6e par RIVEST £ crypto 90, FFT-Hash II \t6r6e 

25 convenablement, presentee par SCHNOR £ Eurocrypt 92, ou par 
I'algorithme de chiffrement DES. 

Le dispositif de verification tel que represente d la figure 4 
comporte lui aussi une unite de commande 10, cette unite de commande 
10 etant reliee e une memoire non volatile 11 du type ROM qui comporte 

30 la matrice M et la cl6 publique K, un calculateur du poids de Hamming 
12, un comparateur 13, un multiplicateur matrice-vecteur 14, une 
memoire a acces aleatoire 15, des moyens 16 pour realiser des OU 
exclusifs binaires identiques aux moyens 5 du dispositif d'identification, 
un g6n6rateur 17 de nombres aieatoires, tel que decrit ci-dessus, une 
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fonction de hachage 18 identique & la fonction de hachage 7 et un 
g§n6rateur de permutations 19. II comporte aussi une interface de 
communication 20 reltee d I'unite de commande 10 et permettant de 
g6rer ia communication entre le dispositif de verification et les differents 
5 dispositifs d'identification. 

On d£crira maintenant avec reference a la figure 5, un mode de 
realisation de la fonction multiplication de la matrice par un vecteur. Ce 
mode de realisation simplify peut etre utilise avec un vecteur y de huit 
bits. Comme represents sur la figure 5 concernant un multiplicateur 

10 matriciel M permettant de multiplier un vecteur y de huit bits par la 
matrice de dimensions correspondantes, ce multiplicateur est formg de 
huit portes-ET 1 1( 1 2 , 13, 14, 1 5, 1 6. 17< 1 8- Chaque porte-ET repoit 
sur chaque entrge, un bit du vecteur y et un bit de la ligne courante de la 
matrice M. Les sorties des porte-ET alimentent un reseau triangulaire de 

15 porte OU exclusifs 2 1# 2 2 , 2 3 , 2 4 , 3<|, 3 2 , 4 afin d'obtenir £ la sortie du 
circuit ie bit correspondant au produit scalaire de y par la ligne courante 
de la matrice M. De manure plus spScifique, les sorties des portes 1<j, 
1 2 sont envoyees en entrge de la porte OU exclusif 2-j, les sorties des 
portes 13, 1 4 sont envoy6es en entrge de la porte OU exclusif 2 2 et les 

20 sorties de ces deux portes OU exclusif sont envoyges en entrge de la 
porte OU exclusif 3q. De manigre identique, les sorties des portes I5, 1g 
sont envoyges en entrge de la porte OU exclusif 23 et les sorties des 
portes 17, 1 s sont envoyees en entree de la porte OU exclusif 24, les 
sorties de ces deux portes OU exclusif etant envoyees en entrge de la 

25 porte OU exclusif 3 2 . Les sorties des portes OU exclusif 3j, 3 2 sont 
envoyges en entrge de la porte OU exclusif 4 dont la sortie S correspond 
au produit scalaire de y par la ligne courante de la matrice M. 
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REVINDICATIONS 

1. Procede d'authentification d'au moins un dispositif 
d'identification par un dispositif de verification/ cette authentication 

5 etant r§alis6e par un protocole d apport nul de connaissance bas£ sur le 
probl§me du decodage par syndrome ou le probteme connu sous le nom 
de "Modular Knapsack", le procede 6tant caract6ris6 par les Stapes 
suivantes : 

- pour permettre le dialogue entre le dispositif d* identification 
10 et le dispositif de verification, etablir une cie secrdte constitute par au 
moins un vecteur s\ de dimension n et de poids de Hamming d (d<n) et 
une cl6 publique comprenant une matrice M de dimensions nxk dont les 
coefficients sont choisis aieatoirement et au moins un vecteur Kj tels que 
Kj = Msj ; 

15 - au niveau du dispositif d'identification, produire un vecteur 

aieatoire y de dimension n et une permutation aieatoire p et envoyer au 
dispositif de verification un engagement obtenu en apptiquant une 
fonction de hachage cryptographique H sur des parametres fonction de 
y, p, s et M ; 

20 - puis, en fonction d'un nombre aieatoire tire par le dispositif 

de verification et envoye au dispositif d'identification, reveler au 
dispositif d'identification, certains elements fonction de y, p et Sj sans 
reveler s\ ; 

- et en fonction du nombre aieatoire, tester au niveau du 
25 dispositif de verification £ I'aide des elements repus et de la cl6 publique 

que les engagements sont corrects ; 

- repeter les operations un nombre de fois fonction du niveau 
de s6curit6 souhaite. 

2. Procede selon la revendication 1, caract6rise en ce que le 
30 vecteur Sj est un vecteur binaire. 

3. Procede selon les revendications 1 et 2, caract6rise en ce 
que apres avoir choisi un vecteur aieatoire y et une permutation aieatoire 
p, le dispositif d'identification calcule : 
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h<| = H(p,My), h2 = H(y p ), h3 = H {(y xor s) p ) et expedie 
I'engagement {h-|, h2, I13} au dispositif de verification, (x p repr6sentant 
le vecteur x permute par p et xor la fonction Ou exclusif), puis le 
dispositif de verification tire de fagon aieatoire un nombre 0 < q < 4 et 
5 Pexp6die au dispositif dMdentification, alors le dispositif d' identification 
calcule et envoie au dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 
10 le dispositif de verification recoit r = {U,V} et teste que : 

Si q = 1 alors h<j » H {V,MU) et h 2 - H (U V ) 

Si q = 2 alors hi = H(V, (MU) xor K) et h 3 « H(U V ) 

Si q = 3 alors h£ = H(U), 113 - H(U xor V) et le poids de 
Hamming de V est d. 
15 Si le test correspondant & q s'est av6r6 correct, le dispositif de 

verification consid£re que le protocole s'est termin6 par un succ6s. 

4. Procede selon les revendications 1 et 2, caract6rls6 en ce 
que, apr£s avoir choisi un vecteur aieatoire y et une permutation 
aieatoire p, le dispositif d' identification calcule h<| » H{p), h2 = H(y p ), 
20 h 3 = H ((y xor s) p ) et exp6die I'engagement {h-j # \\2, h 3 } S ce dispositif 
de verification, 

le dispositif de verification tire de facon aieatoire une liste de 
nombres mutuellement disjoints G = {gi, ...gf} telle que 1 < g; < k et 
I'envoie au dispositif dMdentification, 
25 le dispositif dMdentification calcule seulement les f bits de My 

dont les emplacements sont indiqu6s par G et exp6die au dispositif de 
verification le vecteur Z ainsi obtenu ; 

le dispositif de verification tire de fagon aieatoire un nombre 0 
< q < 4 et I'expedie au dispositif d'identification, alors le dispositif 
30 d 1 identification calcule et envoie au dispositif de verification une reponse 
r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 
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le dispositif de verification regoit r = {U,V} et contrdle que : 
Si q = 1 alors h<\ = H(V) f h 2 = H(U V ) et Extrait (MU,G) xor 

Z = 0 ou Extrait (x, G) represente le vecteur projection obtenue en 

choisissant dans x seulement les bits indiquSs par G ; 
5 Si q = 2 alors hi = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xorZ = 0; 

Si q = 3 alors h 2 = H(U), h3 = H(U xor V) et le poids de 
Hamming de V est d ; 

Si le test correspondant £ q s'est av6r6 correct, le dispositif de 
10 verification considere que le protocole s'est termine par un succSs. 

5. Proc6d6 selon les revendications 1 et 2, caract6ris6 en ce 
que, apr6s avoir choisi un vecteur aieatoire y et une permutation 
aieatoire p, le dispositif d'identification calcule h-j = H{p), h 2 = H(y p ), 
h3 = H ((y xor s) p ) et expedie 1'engagement {h-|, h 2 , 113} au dispositif 
1 5 de verification ; 

le dispositif d'identification calcule Q = My et exp6die le 
vecteur Q ainsi obtenu au dispositif de verification ; 

le dispositif de verification tire de fagon aieatoire une liste de 
nombres mutuellement disjoints G = {g«j f gf} telle que 1 < g\ < k et 
20 calcule le vecteur Z = Extrait (Q,G) 

le dispositif de verification tire de fagon aieatoire un nombre 0 
< q < 4 et I'expedie au dispositif d'identification, alors le dispositif 
d'identification calcule et envoie au dispositif de verification une r6ponse 
r definie par : 
25 Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 

le dispositif de verification regoit r = {U,V} et contrdle que : 
Si q = 1 alors h-| = H(V), h 2 = H(Uv) et Extrait (MU,G) xor 

30 Z = 0 ; 

Si q = 2 alors h<] = H(V), h 3 « H(U V ) et Extrait {MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H(U), h 3 = H{U xor V) et le poids de 
Hamming de V est d ; 
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Si le test correspondent a q s'est av6r6 correct, le dispositif de 
verification consid&re que le protocole s'est termini par un succds. 

6. Procede selon la revendication 1, caract6ris6 en de que le 
vecteur Sj est remplace par un ensemble de vecteurs s[1], s[w] 

5 formant un code simplexe etendu. 

7. Procede selon la revendication 6, caracterise en ce que le 
vecteur Kj est remplace par un ensemble de vecteurs K[1], ... K[w] tels 
que M(s[i]) = K[i]. 

8. Procede selon les revendications 6 et 7, caracterise en ce 
10 que le dispositif d'identification choisit un vecteur aieatoire y et une 

permutation aieatoire p puis calcule h-| = H(My, p), h2 = H{y p , s[1] p , 
s[w] p ) et expedie ('engagement {h<|, h2> au dispositif de verification, 
le dispositif de verification tire de fagon aieatoire un vecteur 

binaire bll] b[w] et I'envoie au dispositif d'identification ; 

15 le dispositif d'identification calcule et envoie au dispositif de 

verification une r£ponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b3] ... xor 
s[w] p b[w] ; 

le dispositif de verification tire de fapon aieatoire un bit q et 
20 I'envoie au dispositif d'identification, 

le dispositif d'identification envoie une r6ponse r definie par : 
Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification re<?oit une reponse r = {r[0], r[1], 
25 r[w]} si q = 0 ou r = {rfO]} si q = 1 ; 

le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor rfw]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H(M(depermute(z, r[0])) xor (K[1]b[1] xor 
30 K[2]b[2] xor K[3]bf3] ... xor K[w]b[w]), r[0] }= h-| ; 

si le test correspondant a q s'est av6re correct, le dispositif de 
verification considere que le protocole s'est termine par un succ6s. 
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9. Proc6d6 selon les revendications 6 et 7, caracterise en ce 
que le dispositif dMdentification choisit un vecteur aieatoire y et une 
permutation aieatoire p, puis calcule : 

hi = H(p) f h2 * H(y p , s[1] p , s[w] p ) et expedie 
5 i'engagement {h-j, h»2> et le vecteur ho = My au disposftif de 
verification ; 

le dispositif de verification tire de fapon aieatoire un vecteur 
binaire b[1], b[w] et I'envoie au dispositif dMdentification, 

le dispositif dMdentification calcule et envole au dispositif de 
10 verification une reponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w] p b[w] ; 

le dispositif de verification tire de fapon aieatoire un bit q et 
I'envoie au dispositif dMdentification, 
15 le dispositif dMdentification envoie une reponse r definie par : 

Si q = 0 alors r = {y p , s[1] p , s[wj p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification regoit une r6ponse r = {r[0], r[1], 
r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 
20 le dispositif de verification teste que : 

Si q = 0 alors h2 - H{r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]bf3] ... xor r[w]b[w] et {r[1], r[2] / ... r[w]} forme un code sfmplexe ; 

Si q = 1 alors h<\ = H(r[0]) et (ho) r [0] xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w)b[w]) r [ 0 ] = z. 
25 Si le test correspondent s'est avere correct, le dispositif de 

verification considere que le protocofe s'est termine par un succds. 

10. Procede selon Tune quelconque des revendications 1 6 9, 
caracterise en ce que le protocole est repete t fois et que le dispositif de 
verification n'authentifie le dispositif dMdentification que si toutes les 

30 sessions du protocole se sont soldees par un succds. 

11. Proc6de selon la revendication 10, caracterise en ce que t 
est choisi tel que 0<t<60. 

12. Procede selon Tune quelconque des revendications '16 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 
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d = (k - n) log 2 (1 - (k/n)) - k log 2 (k/n), et de preference 
sensiblement inferieur a cette valeur. 

13. Procede selon I'une quelconque des revendications 1 a 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 

5 d = (n - (k - n) log 2 d - (k/n)) + k log 2 (k/n), et de 

preference sensiblement superieur a cette valeur. 

14. Procede selon Tune quelconque des revendications 13, 
caracterise en ce que n = 2k. 

15. Procecte selon I'une quelconque des revendications 12 a 
10 14, caracterise en ce que d = 0,1 1n ou d = 0,89 n 

16. Procede selon I'une quelconque des revendications 1 a 15, 
caracterise en ce que n et k prennent comme valeur I'un des couples 
suivants : 

{n = 384, k = 196} ou {n = 512, k = 256} ou {n = 1024, 
15 k = 512} ou {n = 768, k = 384} 

17. Procede selon I'une quelconque des revendications 1 a 16, 
caracterise en ce que la fonction de hachage est remplacee par une 
fonction de chiffrement ou le message a hacher joue le rdle de la cle 
et/ou du message a chiffrer et ou le contrdle de la veracite du message 

20 hache consiste a devoiler le message qui a ete hache et/ou la cle de 
chiffrement. 

18. Procede bas6 sur le "Modular Knapsack" selon I'une 
quelconque des revendications 1 a 1 7, caracterise en ce que le choix du 
vecteur y et tous les calculs sont effectues modulo m et I'operation xor 

25 est remplacee par une addition ou une soustraction modulo m, les tests 
sur le poids etant remplaces par la verification que toutes les 
coordonnees du vecteur sont soit 0, soit 1 et que le poids de ce vecteur 
est constant, la relation reliant n, k et m etant : n " k ln(m)/ln 2 et n - 
k >64. 
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19. Proc6d6 selon la revendication 18, caract6ris§ en ce que m 
est choisi parmi !es nombres 2, 3, 5, 7 ou 2 C dans lequel c est un 
nombre entier petit. 

20. Proc6d6 selon les revendications 18 ou 19, caract6ris6 en 
5 ce que {n,k,m} prennent comme valeurs Tune des valeurs suivantes : 

{196, 128, 3} ou {384, 256, 3} ou {128, 64, 5} ou {192, 96, 5}. 

21. Proced6 selon Tune quelconque des revendications 1 £ 20, 
caracteris6 en ce que le calcul de H(p) est effectu6 en calculant H(ep) oO 
e est un vecteur constant pseudo-ateatoire. 

10 22. Proc6d6 selon Tune quelconque des revendications 1 d 21, 

caract6ris6 en ce que pour pouvoir associer Pidentit6 ID de chaque 
utilisateur a ses cl6s {sj, Kj}, I'autoritS g6n6ratrice choisit un ensemble de 
cl6s secretes primaires {KPj} et hSche ID en un vecteur binaire I = H{ID) 
servant & calculer Sj comme fonction des KPj , l'autorit6 publiant 

15 I'ensemble des cles publiques primaires {PPj} ou {PPj} = f (KPj). 

23. Proc6d6 selon la revendication 22, caract6ris6 en ce que 
I'autorite utilise les bits de I comme indicateurs de selection permettant 
de decider pour chaque KPj si celui-ci intervient dans le processus de 
calcul de s ou non. 

20 24. Proc6d6 selon la revendication 23, caract6ris6 en ce que 

Tensemble {KPj} forme un ou plusieurs codes simplexes 6tendus. 

25. Proc6d6 selon la revendication 24, caract6ris6 en ce que I 
est un nombre de 56 bits. 

26. Proc6d6 selon les revendications 22 d 25, caractSrisS en 
25 ce que s est calcul6 comme combinaison HnSaire des KPj soit 

s = I [1] KP-| + I [2] KP2 + ... I [taille de I] K p ta j|| e <j e j et oO 
PPj = (KPj). 

27. Proc6d6 pour relier ID 3 s selon les revendications 22, 23 
et 25, caract6ris§ en ce que Ton realise les calculs suivants : 

30 

- I'autoritS selectionne t secrets KPj de poids at dont les bits S 
un sont repartis sur 2at positions, publie Tensemble des PPj » M(KPj) et 
genere une cI6 s par triangulation partielle de la fagon suivante : 
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t 

s = E x[i] KPj 
i = I 

5 t 

Ms = I l(i] PPj et 
i = I 

le poids de s = ta-t/2 

le choix des dimensions etant r6gi par les relations suivantes : 
10 0,11 n = ta-t/2, 2k = n et 2at5 > 56 oCi 2a-2aH2(5) - 1. 

28. Procede selon la revendication 27, caract6ris6 en ce que 
t = 56, d = 95, n = 864, k = 432. 

29. SystSme pour la mise en oeuvre du procede selon Tune 
quelconque des revindications 1 & 28, comprenant au moins un 

15 dispositif d'identification et un dispositif de verification, caract6ris6 en ce 
que le dispositif d'identification comporte au moins des moyens pour 
multiplier une matrice M de dimensions n x k, par des vecteurs de n bits 
des moyens pour stocker un vecteur secret Sj d'un poids de Hamming d, 
des moyens pour produire un vecteur aieatoire y et une permutation 

20 aieatoire p, des moyens pour realiser un hachage cryptographique H et 
des moyens de communication avec le dispositif de verification. 

30. SystSme selon la revendication 29, caractSrisS en ce que 
le dispositif de verification comporte au moins des moyens pour 
multiplier une matrice M de dimensions nxk, par des vecteurs de n bits 

25 des moyens pour stocker au moins un vecteur public Kj tels que Kj = 
Ms;, des moyens pour produire aieatoirement un nombre entier, des 
moyens pour realiser un hachage cryptographique H et des moyens de 
communication avec les dispositifs d'identification. 

31. Syst&me selon les revendications 29 et 30, caract6ris6 en' 
30 ce que la matrice M est g6n6ree par un g£n6rateur deterministe de 

nombres pseudo-aleatoires. 

32. Systeme selon les revendications 29 d 31, caracterise en 
ce que le multiplieur matriciel M est forme d'un alignement de portes "et" 
aux entries de chacune desquelles on applique un bit du vecteur y et un 
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bit de la ligne courante de la matrice M et olj ies sorties des portes n et" 
alimentent un r6seau triangulaire de portes "xor" afin d'obtenir d la sortie 
du circuit le bit correspondant au produit scalaire de y par la ligne 
courante de la matrice M. 
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